推廣 | 令人窒息的獎品等你―2016最權威的全球開發者調研

可能需要幾年甚至幾十年，但黑客還真就未必是人類了。人工智能(AI)具有顛覆網絡安全前景的技術，也許在某天就成為了易上手的黑客工具。

今年8月，受美國國防機構DARPA贊助的網絡挑戰賽CGC，就揭開了AI力量的面紗一角。7臺超級計算機相互對戰，顯示出機器能確實查找并修復軟件漏洞。

理論上而言，該技術可被用于完善代碼，清除可被利用的編程漏洞。但若該力量被用于惡意目的又會怎樣呢?網絡防御的“希望之星”也有可能為黑客新時代掃清障礙。

潛在的危險

比如說，網絡罪犯可能利用這些功能來掃描軟件中的未知漏洞，然后利用這些漏洞搞破壞。然而，與人類不同，AI可以利用機器的高效無休來做這事兒。曾經耗時耗力才能開發出來的黑客攻擊，或許就變成了觸手可及的商品，簡直噩夢一樣的場景。

在科技產業已經開發了自動駕駛汽車、更智能的機器人，以及其他形式的自動化產品的時代，網絡安全專家們已經充分意識到了這種風險。GrammaTech研究副總裁大衛·梅爾斯基說：“技術總是令人恐懼。”

梅爾斯基的公司打造了參加8月CGC的超級計算機之一。目前，他的公司正考慮用該技術來幫助廠商預防物聯網設備中的漏洞，或者讓互聯網瀏覽器更加安全。

“不過，漏洞發現是一把雙刃劍。”他說，“我們同時也在不斷自動化任何事。”

所以，安全專家想象出潛在的黑暗面并不難——AI能打造或控制強力網絡武器的場景。比如說震網，那個被設計來破壞伊朗核項目的惡意計算機蠕蟲。

“想到像震網一樣的東西被自動化了，就該崩起警弦了。”

初探潛力

安全公司SentinelOne首席執行官托馬爾·溫加滕說：“我不想給任何人任何想法。”，但AI驅動的技術爬遍互聯網尋找漏洞，也屬于未來現實之一。

網絡犯罪的簡單化高效化已經發生。比如說，黑市買家可以雇傭“黑客租賃”服務，使用精巧的Web界面和易理解的指令，發起勒索軟件感染之類的網絡犯罪活動。

溫加滕認為，這些黑客租賃服務最終可能會融進AI技術，設計整個攻擊策略、發動攻擊、計算相關費用。然后，人類攻擊者就能坐享AI勞動成果了。

但是，AI這詞兒也是炒作過度了。科技公司都在談論這東西，能實際做出真正人工智能的卻一個都沒有。業內走向了做出可以比人類棋手更能玩一手好棋，能充當數字助手，或者診斷疑難雜癥的技術。

Cylance這樣的網絡安全公司也利用AI的子集——機器學習，來阻止惡意軟件。這涉及到基于惡意軟件樣本打造數學模型來衡量特定活動是否異常。

“最終，你得到的是該文件是好是壞的統計概率。”Cylance首席研究官喬恩·米勒說。“超過99%的情況下，機器學習都能檢測出惡意軟件。”

“我們一直在饋送新數據(惡意軟件樣本)到模型中，數據越多，準確性越高。”

升級

使用機器學習的缺點之一，就是成本太高。米勒說：“我們在計算機模型上每個月要花去50萬美金。”該資金用于從亞馬遜租賃云計算服務來運行模型。

任何想嘗試將AI技術用于惡意目的的人，都會面臨類似的資金門檻。此外，他們還需要找到頂級技術人才來研發算法。但隨著時間推移，計算能力的成本終將下降。

不過，黑客訴諸于AI利用的日子還很遙遠。“為什么還沒實現?因為沒必要啊。如果你想黑了某人，現成的已知漏洞就多到你用不完。”

目前，很多黑客活動都是從網絡釣魚郵件開始的。其他情況下，屬于受害者用了弱口令或者忘了升級自身軟件到最新版本。

機器學習一類的AI技術已經顯示出解決某些安全問題的潛力，但黑客最終升級武器庫或許也只是時間問題。

這將使網絡安全公司與黑客之間的戰爭升級，AI就是他們的“前線”。看起來我們似乎正在走向機器vs機器的網絡戰時代。

【編輯推薦】